如何解决ADFS声明在联合环境中进行配置
我正在尝试使用ADFS身份验证,但是我对应该在哪里进行配置有一些疑问。
在我公司一侧,有一个配置有Active Directory的ADFS。我无法使用oauth并通过该AD对用户进行身份验证:我获得了访问令牌和id_token。
我还需要对另一家拥有ADFS的公司的用户进行身份验证。因此,我相信两者之间存在联盟。在我的ADFS方面,我们已经为该ADFS创建了声明提供者信任。我可以使用oauth获得访问令牌。但是,我无法获取id_token。我也无法在访问令牌内获得一些用户信息(声明)。
我尽我所能在ADFS方面进行了所有尝试,更确切地说,我对请求提供者信任和应用程序组中的所有请求都应用了passthru。 Hoerver,我只能看到与用户信息无关的其他声明。
因此,我的第一个问题是:由于在外部ADFS中对用户进行了身份验证,因此该ADFS是否负责包括所需的声明?如果是,那么这说明了为什么我的ADFS可能会发生变化,而仅在添加标准声明时会导致结果。
这是否还意味着应该将AnchorClaimType添加到外部ADFS中而不是我自己添加? (请参阅:ADFS + OpenID Connect email claim and external ADFS)因为我尝试了allting,但仍然遇到相同的错误。它仅适用于我自己的Active Directory。
谢谢!
解决方法
我知道了:
在外部ADFS(用于验证用户身份的配置)中,有一个依赖方。这必须提供所需的声明。因此,我们需要请外部ADFS的管理员进行设置。我要求提供姓名和索偿要求。
在我公司方面,它为外部ADFS创建了一个Claims Provider Trust,并为oauth身份验证创建了一个应用程序组。在这两种情况下,我们都可以过滤声明,因此在两种声明中都必须可用:name和upn。
有了这些声明(或仅其中之一或与用户信息有关的任何其他声明),将使用户信息以令牌形式提供。默认情况下,ADFS不返回用户ID信息。
最后,关于AnchorClaimType声明,必须在我的公司ADFS中进行设置。这必须指向名称或upn声明。配置此声明后,将可以使用id_token。
致谢
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。